1

Virtualization is the isolation of one computing resource from the others Virtualization results in more efficient resource utilization, and enables greater flexibility and simplified change management

App-V (ex SoftGrid) VDI = Virtual Desktop Infrastructure (OS client sur machine serveur Hyper-V), s'appuie sur VECD VECD = Windows Vista Enterprise Centralized Desktop MED-V (ex Kidaro) : MS Enterprise Desktop Virtualization au centre : gestion de la virtualisation avec System Center (et notamment SCVMM)
4

http://www.microsoft.com/virtualization/products.mspx

La virtualisation dune machine requiert le contrle des oprations privilgies Virtualisation signifie gnralement mulation mais peut aussi signifier un accs contrl un tat privilgi
Les registres du CPU et le matriel impliqu dans la gestion de la mmoire Les priphriques matriels

Le cur du logiciel de virtualisation est appel Virtual Machine Monitor (VMM) Il y a deux approches la virtualisation dune machine
La virtualisation hberge La virtualisation base dhyperviseur

architecture virtualisation hberge

Dans le cadre dune virtualisation hberge, le VMM sexcute avec le mme privilge que le noyau du systme dexploitation hte
Le niveau de privilge kernel de la machine invite est infrieur au noyau du systme hte mais est plus lev que le code en mode user sexcutant au sein de la machine invite (notion de compression danneau voir plus loin et en annexe)

10

Un hyperviseur de ce type est un fin micronoyau de virtualisation Le systme est partitionn en machines virtuelles Tout ce qui a pu ltre a t vacu au sein dune partition spcifique dite partition racine (ou parente ) Lhyperviseur implmente la gestion des ressources des partitions, y compris lordonnancement (des curs) et la gestion de la mmoire note : 1 VMBus par VM vers la racine

11

extensions des CPU Intel VT et AMD-V ("monitor mode", sorte d'anneau -1) extensions des CPU/chipsets Intel TXT et AMD SVM pour lancer un hyperviseur ou un VMM DMA remapping (IOMMU) : device assignment support (protection against malicious DMA transfers)

12

hyperviseur = noyau de partitionnement (la partition est la frontire d'isolation; peu de fonctions de virtualisation, s'appuie sur une pile de virtualisation) trs fine couche logicielle (micronoyau, trs fiable, base pour une TCB rduite) pas de pilotes de priphriques (deux versions : Intel et AMD), pas de code de 3ce partie les pilotes s'excutent dans une partition (tire partie de la large base de pilotes disponibles pour Windows) interface bien dfinie qui permet de crer la prise en charge de tout OS comme VM

13

Dans le cas dHyper-V La gestion et la configuration sont typiquement effectues via un systme dexploitation matre sexcutant au sein de la partition racine Les pilotes de priphriques sexcutent au sein du systme dexploitation racine virtualisation de machine pour des OS invits x32 ou x64, multiprocesseur rle de Windows Server 2008 x64, galement disponible sparment 3 composants majeurs : hyperviseur, pile de virtualisation, priphriques virtuels.

Composant de Windows Server 2008

Dpend du support hardware pour pouvoir sexcuter avec un niveau de privilge plus lev que le kernel de la partition racine (on parle quelquefois d anneau -1 pour le niveau dexcution de lhyperviseur)
Elimine la compression danneau Support seulement sur Intel VT ou AMD-V Support seulement sur du hardware x64, support dinvits 32/64 bits Compatibilit complte des pilotes de priphrique dj existants Services de gestion Infrastructure de service Obligation du respect de la politique de ressource des invits

Version finale disponible Sinstalle comme un rle sur Server Core (plus de dtails dans la session Virtualisation de machines : prsent et futur ) ou sur un serveur complet

Avantages dune partition racine Windows

1.Hyperviseur Le noyau de partitionnement La partition est la frontire disolation Peu de fonctions de virtualisation ; dpend de la pile de virtualisation Trs fine couche de logiciel

14

15

Protger les clients de Microsoft en

Rduisant le Rduisant la de vulnrabilits des vulnrabilits

Prescriptif mais nanmoins pragmatique Proactif pas seulement de la "recherche de bugs" Elimination en amont des problmes de scurit Scurit par conception

16

Chez Microsoft, nous pensons que fournir des logiciels scuriss ncessite Engagement des dirigeants SDL est un politique obligatoire chez Microsoft depuis 2004

17

modle formel du design et tests effectus sur la base du modle modles formels des algorithmes les plus intressants (notamment TLB virtualization) avant et pendant le dveloppement aprs dveloppement : vrification mcanique de l'hyperviseur (code en C et assembleur) les outils utiliss sont dvelopps par l'EMIC en Allemagne et la plupart de l'annotation du code est faite par U. Saarbrucken

18

notes : pas de partage de mmoire (chaque VM a son propre espace d'adressage) pas de communication entre VM part par le rseau les VM ne peuvent pas faire d'attaque DMA car elles n'ont jamais accs directement au matriel les VM et la racine ne peuvent pas crire dans l'hyperviseur

19

Les invits sont indignes de confiance La racine doit tre digne de confiance pour les invits ainsi que pour lhyperviseur (lancement, attaques DMA,) Le code au sein des invits peut sexcuter dans tous les modes, anneaux et segments disponibles des processeurs Les interfaces Hypercall (les API simples exposes par lhyperviseur) seront bien documentes et donc largement utilisables pour les attaquants
Ces spcifications sont disponibles en mode OSP (Open Specification Promise) en http://www.microsoft.com/downloads/thankyou.aspx?familyId=9 1e2e518-c62c-4ff2-8e50-3a37ea4100f5&displayLang=en

Tous les Hypercalls peuvent tre tents par les invits On peut dtecter que vous excutez du code sur un hyperviseur
On vous donnera mme la version

La conception interne de lhyperviseur sera bien documente et donc comprise

20

isolation : scurit, pannes, resources fiabilit : base de code minimale, conception strictement en couches, pas d'extensibilit monte en charge : curs de CPU, mmoire gigantesque l'hyperviseur ordonnance les curs (et pas les processeurs logiques, contenus dans des curs, contenus dans des processeurs physiques)

Une isolation forte entre les partitions Protger la confidentialit et lintgrit des donnes des invits Sparation
Il y a des pools de ressources uniques de lhyperviseur par invit Il ya a des processus de travail spars
21

CE QUI N EST PAS PRIS EN COMPTE (DU MOINS DANS CETTE VERSION) Les choses que nous ne faisons pas au sein dHyper-V* Attnuer les fuites du hardware par transparence (attaques par infrence) Attnuer les canaux cachs Garantir la disponibilit Protger les invits de la racine Protger lhyperviseur de la racine Utiliser du hardware digne de confiance TPM, affectation de priphrique, protection DMA, lancement scuris

22

Lhyperviseur a un espace dadressage spar Les adresses des invits sont diffrentes des adresses de lhyperviseur Pas de code tiers au sein de lhyperviseur Un nombre limit de canaux depuis les invits vers lhyperviseur Pas de chose du genre IOCTL Un IOCTL (Input/output control) est un lment dinterface de type user-tokernel ; les IOCTL sont utiliss typiquement pour permettre un code en mode user de communiquer avec des priphriques ou des composants du noyau La communication invit invit travers lhyperviseur est prohibe Pas de mmoire partage mappe entre les invits Les invits ne touchent jamais le hardware rel dE/S Lhyperviseur est construit avec Les cookies qui servent protger la pile (/GS) Le mode Hardware No eXecute (NX) Les pages de code marques en lecture seule Des pages de garde mmoire Une gestion dexception limite Le binaire de lhyperviseur sign Lhyperviseur et la racine sont passs travers SDL Modlisation des menaces Analyse statique Test de fuzzing Test de pntration

23

Mmoire

CPU E/S

La mise en correspondance de ladresse physique et de la partition est maintenue par lhyperviseur Le modle dappartenance est de type parent/enfant sur la mmoire Lhyperviseur peut se superposer aux droits daccs dans les tables de page des invits (R, W, X) Le hardware garantit lisolation des caches et registres, le vidage du TLB, linterception des instructions Lhyperviseur rend obligatoire la politique de scurit du parent pour tous les accs des invits aux ports dE/S La politique dHyper-V v1 est que les invits nont pas daccs au vritable hardware Modle de privilges par partition Les invits ont accs aux hypercalls, aux instructions, aux MSR (Model Specific Registers) avec un impact en termes de scurit qui est contrl en fonction de la politique de scurit du parent La politique de scurit dHyper-V v1 est que les invits nont pas daccs aux instructions privilgies Autorisation et contrle daccs avec un fin niveau de granularit Bas rle et dpartement (RBAC Role-Based Access Control) Sparation claire du rle dadministration des groupes de

Interface hyperviseur

Utilise lAuthorization Manager (AzMan)

24

25

26

27

28

pour scuriser les biens physiques et virtuels

29

Well now talk in greater detail about each aspect of our integrated approach to virtualization security, covering three key areas: Secure computing solution: Windows Server 2008 and Hyper-V were designed to provide a secure computing platform across both physical and virtual environments, enabled through next-generation architecture and security features Integrated protection: Well cover the integrated, defense-in-depth protection across physical and virtual environments that Microsoft delivers, combining Windows Server 2008 security features with complementary security solutions Simplified management: A secure environment is also a well-managed environment enabled through simplified administration and clear visibility. Lastly, well talk about virtualization management through Microsoft solutions covering virtual machine administration, identity management, patching, and related areas.

2008 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

30

Hyper-V in Production TAP, RDP & MSIT Hyper-V Deployments Thousands of Hyper-V VMs in PRODUCTION Windows Server 2003/2008 Roles: File, Print, AD, RODC, IIS/Web, TS, Application Services, DHCP, DNS, WSS and more Microsoft Server Products: SQL, Exchange, HPC, ISA, Sharepoint, Project Server, VSTS, BizTalk, Configuration Manager, Operations Manager, Virtual Machine Manager & more Hyper-V Stats: Performance Blockers: ZERO Deployment Blockers: ZERO Application Compatibility Bugs: ZERO Scalability Blockers: ZERO

Production Hyper-V Powering Microsoft Internet Properties TechNet: 100% Hyper-V http://technet.microsoft.com ~1 million hits a DAY MSDN: http://msdn.microsoft.com ~3 million hits a DAY Virtualizing TechNet & MSDN Whitepaper http://download.microsoft.com/download/6/C/5/6C559B56-8556-4097-8C812D4E762CD48E/MSCOM_Virtualizes_MSDN_TechNet_on_Hyper-V.docx -Handles 15,000 requests per second -1.2 billion page views per month -280 million worldwide unique users per month -~5000 content contributors internally

31

SCVMM

32

Minimiser les risques au sein de la partition racine Utiliser Server Core Ne pas excuter dapplications arbitraires, pas de navigation web Excuter vos applications et vos services dans les partitions invits Connecter uniquement au rseau interne Exposer seulement les invits au trafic Internet

33

Patcher lhyperviseur Windows Update Grer beaucoup de machines virtuelles Utiliser System Center Virtual Machine Manager

35

Deux machines virtuelles ne peuvent pas avoir le mme degr disolation que deux machines physiques : Attaques par infrence Canaux cachs Il nest pas recommand dhberger deux machines virtuelles dun niveau de confiance trop diffrents sur le mme systme Par exemple un serveur Web front-end et un serveur de certificats

36

37

38

39

40

 ne pas oublier (ici mulation vs composants d'intrgation)

41

42

43

Mitigate Bottlenecks Processors Memory Storage Don't run everything off a single spindle Networking VHD Compaction/Expansion Run it on a non-production system Use .isos Great performance Can be mounted and unmounted remotely Having them in SCVMM Library fast & convenient

CREATING VM Use SCVMM Library Steps: 1. Create virtual machine 2. Install guest operating system 3. Install integration components 4. Install anti-virus 5. Install management agents 6. SYSPREP 7. Add it to the VMM Library Windows Server 2003 Creat vms using 2-way to ensure an MP HAL

44

45

Il existe de nombreux types de virtualisation (applications, OS, machines) avec, chaque fois, un niveau plus lev disolation (et de surcot) La virtualisation constitue un outil puissant pour lisolation et lanalyse de virus Elle permet damliorer les capacits danalyse forensic pour les systmes dexploitation compromis Elle permet dinvestir dans le renforcement de la scurit des OS travers les fonctionnalits des hyperviseurs A le potentiel pour une meilleure isolation intra-OS (par exemple la sparation en Ring 0 des drivers) On peut tirer parti des machines virtuelles pour hberger des appliances de scurit

46

La surveillance rseau MV MV Grer le niveau de patch des systmes dexploitation des MV La fuite dinformations entre les partitions en raison du matriel partag Une plus large surface dattaque que les machines normales Haute disponibilit attaques des SLA Menaces cres par les hyperviseurs malfaisants, non autoriss (rootkits en mode hyperviseur) recherche de solutions

Lancement scuris

Remappage de DMA

Intel TXTTM (senter) et AMD SVMTM (skinit) Donne au propritaire de la machine la possibilit de contrler quel est le code qui peut utiliser le matriel de virtualisation Le matriel rend obligatoire le respect de la politique de scuris en bloquant le lancement dhyperviseurs non autoriss Permet des hyperviseurs de se protger eux-mmes contre la falsification Intel VT-d et AMD IOMMU Donne aux invits laccs au vritable hardware pour leur permettre des accs hautes performances Permet lhyperviseur de se protger lui-mme contre des attaques de type DMA

47

(non commente l'oral) --------------------

48

La gnralisation des machines virtuelles et des hyperviseurs va certainement poser des problmes de scurit mais ceux-ci ne sont pas fondamentalement diffrents de ceux qui existaient dj Les progrs du matriel permettent dancrer de plus en plus la confiance dans le matriel La virtualisation permet denvisager de futurs bnfices en termes de scurit

49

webcast de Bernard Ourghanlian et prsentation complte de 70+ diapos

50